网络安全已经成为电力系统安全的重要内容，其中电力监控系统网络安全则是重中之重。

听说了很久，但一直没有认真学习，近日查了一些资料，自己关注的问题，大家分享。

规范支持

关于电力监控系统安全，国家层面陆续出台了相关的管理规定，详见下表。

基本原则

不论是《电力二次系统安全防护规定》，还是《电力监控系统安全防护规定》，均坚持了一个基本原则，“安全分区、网络专用、横向隔离、纵向认证”。这是电力监控系统安全的基本规则，如下图所示。

 （图片来自网络）

安全分区

安全分区是电力监控系统安全防护体系的结构基础 。发电企业、电网企业内部基于计算机和网络技术的业务系统，应当划分为生产控制大区和管理信息大区。

生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。

典型的安全分区会分为四个区，其中生产控制大区为Ⅰ、Ⅱ区，信息管理大区分为Ⅲ、Ⅳ区。

下图为典型的安全分区情况。

（图片来自网络）

下表为各安全分区描述及主要功能。

网络专用

电力调度数据网是电力监控系统安全防护体系的重要网络基础。

“网络专用”是指，电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公用数据网的安全隔离。

从而保证生产数据的实时性和可靠性。

横向隔离

在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。单向隔离装置能够断开两侧的网络及协议联接，实现物理隔离。

从生产控制大区向管理信息大区单向传输数据，应使用正向隔离装置；从管理信息大区向生产控制大区单向传输数据，应使用反向隔离装置。

生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。

通过横向隔离，可以有效实现对高安全需求数据的安全保障。

下图为横向隔离的部署情况。

）

纵向认证

在生产控制大区与广域网的纵向联接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。

纵向认证主要采用认证、加密、访问控制等技术措施，实现数据的远方安全传输以及纵向边界的安全防护。实现双向身份认证、数据加密和访问控制，是电力监控系统安全防护体系的纵向防线。

电力专用纵向加密认证装置部署在I区与I区之间（实时）或II区与II区（非实时）之间，应成对布置，送端与发端点对点解析，存在加密和解密的双向过程，同时绑定地址。

下图为纵向认证的部署示意图。

（图片来自网络） 

电力监控系统安全是一个复杂和专业的领域，同时也是电力企业各专业需要协同配合的工作。

安全第一，大家努力。